Звіт F5 Labs про фішинг і шахрайство показує: шахрайство, пов’язане з COVID-19, і дедалі складніші атаки посилюють глобальні загрози. Фішингові атаки зросли на 19 відсотків через COVID-220.
Згідно з нещодавнім аналізом F19 Labs, пандемія COVID-5 продовжує значно збільшувати кількість спроб фішингу та шахрайства. Відповідно до опублікованого сьогодні четвертого випуску Звіту про фішинг і шахрайство, у розпал глобальної пандемії кількість інцидентів фішингу зросла на 220 відсотків порівняно із середньорічним показником. Згідно з даними Центру безпеки F5 (SOC), кількість інцидентів фішингу зросте на 2020 відсотків у 15 році порівняно з попереднім роком. Але це число може зрости через другу хвилю пандемії.
Терміни "ковід" і "корона" вгорі
Три основні цілі для фішингових електронних листів, пов’язаних із COVID-19, — це шахрайський збір пожертвувань для ймовірних благодійних організацій, збір облікових даних і доставка зловмисного програмного забезпечення. Крім того, кількість сертифікатів із термінами «ковід» і «корона» досягла піку в 14.940 1102 у березні – зростання на XNUMX відсотки порівняно з попереднім місяцем.
«Ризик стати жертвою фішингових атак вищий, ніж будь-коли, оскільки шахраї все частіше використовують цифрові сертифікати, щоб зробити свої веб-сайти легітимними», — сказав Роман Боровіц, старший системний інженер F5. «Зловмисники також швидко перехоплюють емоційні тенденції, через що COVID-19 погіршує і без того небезпечну ситуацію. На жаль, наше дослідження показує, що контроль безпеки, освіта користувачів і загальна обізнаність у всьому світі все ще відсутні».
Нові методи фішингу
Як і в попередні роки, F5 Labs виявила, що шахраї стають більш креативними з назвами та адресами своїх фішингових сайтів. У 2020 році 52 відсотки фішингових сайтів використовували назви та ідентифікаційні дані відомих брендів у своїх адресах. У другій половині 2020 року Amazon найчастіше використовувався для атак. Paypal, Apple, WhatsApp, Microsoft Office, Netflix і Instagram також увійшли до десятки найбільш популярних брендів. Відстежуючи крадіжки облікових даних для використання в активних атаках, F5 Labs виявила, що злочинці намагалися використати вкрадені паролі протягом чотирьох годин після фішингу жертви. Деякі атаки навіть відбувалися в режимі реального часу, щоб дозволити перехопити код безпеки багатофакторної автентифікації (MFA).
Кіберзлочинці також стають все більш безжальними у викраденні законних, але вразливих URL-адрес. Лише на WordPress у 20 році припадало 2020 відсотків загальних фішингових URL-адрес у порівнянні з 4,7 відсотками трьома роками раніше. Крім того, кіберзлочинці все більше економлять гроші, використовуючи безкоштовні реєстри, такі як Freenom, для певних доменів верхнього рівня з кодом країни (ccTLD), таких як .tk, .ml, .ga, .cf і .gq. Зараз домен .tk є п’ятим за частотою реєстрації доменом у світі.
Оманливі справжні фішингові сайти
У 2020 році фішери також активізували свої зусилля, щоб шахрайські сайти виглядали якомога справжніми. Статистика F5 SOC показала, що більшість фішингових сайтів використовують шифрування. 72 відсотки використовують дійсні сертифікати HTTPS, щоб обдурити жертв. Навіть у всіх зонах відмітки — цілях викрадених даних, надісланих шкідливими програмами — використовується шифрування TLS, порівняно з 89 відсотками минулого року.
Майбутні загрози
Згідно з останнім дослідженням Shape Security, яке вперше включено до звіту, з’являються дві основні тенденції фішингу. У результаті вдосконалення засобів контролю безпеки та рішень для трафіку ботів (ботнет) зловмисники все частіше використовують ферми кліків. Десятки «віддалених працівників» систематично намагаються увійти на цільовий веб-сайт, використовуючи нещодавно отримані облікові дані. Підключення запускає людина за допомогою стандартного веб-браузера, що ускладнює виявлення шахрайства.
Тут навіть порівняно невеликий відсоток атак може мати жахливі наслідки. Наприклад, Shape Security проаналізувала 14 мільйонів щомісячних реєстрацій у постачальника фінансових послуг і зафіксувала рівень шахрайства в 0,4 відсотка. Однак це дорівнює 56.000 XNUMX шахрайським спробам входу — і цифри продовжуватимуть зростати.
Трендові фішингові проксі-сервери в реальному часі
Як другу тенденцію дослідники Shape Security відзначили сплеск фішингових проксі в реальному часі (RTPP), які можуть перехоплювати та використовувати коди багатофакторної автентифікації (MFA). RTPP діє як особа посередині, перехоплюючи транзакції жертви за допомогою реального веб-сайту. Оскільки атака відбувається в режимі реального часу, шкідливий веб-сайт може автоматизувати процес захоплення та повторного відтворення обмежених за часом автентифікацій, таких як коди MFA. Він навіть може викрасти та повторно використовувати сеансові файли cookie. Останнім часом активно використовувані RTTP включають Modlishka та Evilginx2.
«Фішингові атаки будуть успішними, доки людьми можна якимось чином психологічно маніпулювати», — продовжує Боровіц. «Засоби безпеки та веб-браузери мають бути кращими для попередження користувачів про шахрайські веб-сайти. Але користувачів і компанії також необхідно постійно навчати новітнім методам, які використовують шахраї. Сучасні тенденції, такі як COVID-19, повинні бути в центрі уваги».
Дослідження на основі даних за 5 років
Цьогорічний звіт про фішинг і шахрайство розглядає інциденти фішингу на основі досвіду F5 Security Operations Center (SOC) за останні п’ять років. У ньому детально описано активні та підтверджені фішингові веб-сайти, які працюють за допомогою OpenText Webroot BrightCloud Intelligence Services. Він також аналізує дані ринку темної мережі від Vigilante. Разом ця інформація дає повну та послідовну картину світу фішингу.
Прямо до звіту на F5.com
Про мережі F5 F5 (NASDAQ: FFIV) дає найбільшим у світі підприємствам, постачальникам послуг, державним установам і споживчим брендам свободу забезпечувати будь-які програми безпечно, будь-де та з упевненістю. F5 надає хмарні рішення та рішення безпеки, які дозволяють компаніям використовувати обрану інфраструктуру без шкоди для швидкості та контролю. Відвідайте f5.com для отримання додаткової інформації. Ви також можете відвідати нас на LinkedIn і Facebook, щоб дізнатися більше про F5, її партнерів і технології.